Informatiebeveiligingsbeleid van JJC

Informatiebeveiliging is voor JJC van cruciaal belang om de rechten en privacy van alle belanghebbenden te waarborgen. Ook zorgt het ervoor dat informatie op een adequate wijze beschermd wordt tegen allerlei bedreigingen. Daarom heeft JJC een informatiebeveiligingsbeleid opgesteld waarmee we voldoen aan alle relevante (privacy) wet- en regelgeving.
JJC ontwikkelt en beheert integrale, webbased softwareapplicaties. Hiermee ondersteunen we werkgevers, arbodiensten, bedrijfsartsen en adviseurs op het gebied van arbeid, vitaliteit en gezondheid Bij ons staan de klant en de kwaliteit van onze software en dienstverlening centraal.

Naleven van de wet- en regelgeving

Certificering

We zijn ISO 27001-gecertificeerd en

we beschikken over de NEN 7510-certificering. Daarmee voldoen wij aan de maximale eisen op het gebied van procesbeheersing en bescherming van medische- en persoonsgegevens. Daarnaast is JJC geregistreerd bij de Autoriteit Persoonsgegevens.

Privacyreglement

In ons privacyreglement staat precies wie welke gegevens mag inzien, hoe lang ze bewaard worden en hoe we voorkomen dat onbevoegde personen ze kunnen bekijken. U kunt hiervoor ook onze algemene voor- waarden raadplegen.


Interne borging

Om de kwaliteit van onze dienst- verlening continu te waarborgen, worden vakgerichte cursussen en opleidingen gevolgd over hetnaleven van de wet- en regelgeving.


Informatiebeveiliging

Inzake onze automatisering hebben we diverse maatregelen genomen, voor een optimale bescherming van de persoonsgegevens:

  • De ICT-omgeving van JJC is geplaatst in een veilige datacenter omgeving (ISO 27001 gecertificeerd)
  • De rechtstreekse toegang tot de database vanaf internet wordt
    afgeschermd door de toevoeging van een extra serverlaag en/of een zogenaamd Security Abstraction Layer (SAL).
  • De toegang tot de ICT-omgeving gaat via secure VPN tunnels
  • JJC maakt gebruik van SSL- certificaten ter beveiliging van websites, portals en applicaties. Hierdoor wordt afgedwongen dat gebruikersde functionaliteit alleen kunnen benaderen via ‘https’
  • JJC hanteert Role Based Access (gebruikers krijgen alleen toegang
    tot die data waar men toe geautoriseerd is op basis van functie).
  • De toegang tot de specifieke functionaliteit inhoudelijk wordt bepaald door het Privacy- reglement, wat onderdeel uitmaakt van hetkwaliteitssysteem.
  • Systemen binnen de JJC ICT- omgevingen hebben uiteraard ook diverse koppelingen met applicaties of systemen van derden, die niet vanzelfsprekend binnen hetzelfde datacenter zijn opgesteld.
  • Bij het inrichten van koppelingen wordt standaard gewerkt met certificaten (SSL/PKI overheid certificaten) of wordt specifieke tooling ingezet (in plaats van FTP wordt bijvoorbeeld sFTP toegepast).


Audits

Jaarlijks vinden er voor server en netwerkbeheer verschillende audits plaats door externe partijen. Het betreft hier een audit op hetCertificaat ISO 27001: 2013 en NEN 7510. Elke 2 jaar wordt aanvullend een zogenaamde securitycheck (door een professionele hacker) uitgevoerd, om te beoordelen of het portaal bestand is tegen mogelijk nieuwe risico’s.

Deze security check wordt ook bij nieuwe releases uitgevoerd.


Wilt u meer weten?

Voor meer informatie kunt u terecht bij uw vaste contactpersoon van JJC of op privacy@bisdoss

Document-ID
ISMS-1-18-2

Versie
2

Datum
14-08-2023